捣毁病毒流氓软件窝点必查七个注册表

原创 2011年03月10日 13:59:00

捣毁病毒流氓软件窝点必查七个注册表

 

有病毒,随后就出现了杀软。今天给大家分享下Windows系统中病毒的藏身之处,好让大家以后直接揪出内鬼。

 

  1、一般的病毒在开机时启动双进程坚守、关闭杀毒程序。 HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run是否有陌生启动项。这里属于常规启动项,很多程序会写在这里。   

 

  2、如果杀毒软件难于清理、或被关闭了杀毒程序,也有可能是被执行挂钩了。这时候应当检测HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer /ShellExecuteHooks,大量恶意软件以及病毒均会写入这里。因为,很少有正常程序会写入这里,病毒几率非常大。

 

  3、有的时候,安全模式下杀毒程序被关闭了。重点检查一下 HKLM/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Windows/Appinit_Dlls。很少有正常程序会写入这个位置,病毒几率极高。   

 

  4、有些病毒是写入底层服务与rootkits驱动,所以才导致清除困难。用户可以重点检查HKLM/System/CurrentControlSet/Services。   

 

  5、如果发现某个特定文件名的文件无法执行了,十有八九是被映像劫持,重点排查 HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options,大多数AV病毒均会写在这里。当然,被劫持的文件不一定是exe文件。有的病毒为了防止ani.ani还原病毒主文件,便劫持 ani.ani文件。   

 

  6、还有一些变种病毒可以将杀毒软件安装文件进行删除,而且会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改API HOOH。这时可以重点检查HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer /SharedTaskScheduler   

 

  7、HKLM/SOFTWARE/Microsoft/Windows /CurrentVersion/ShellServiceObjectDelayLoad   

 

了解隐藏之地,找到它就相当容易。大家在安装完系统的时候,推荐把以上七项注册表都备份下。以后中病毒后,可以先直接倒入备份的注册表文件。再把杀软升级到最新,然后进入安全模式下,进行全盘查杀。想必这样,病毒不死也大残了

捣毁病毒流氓软件窝点必查七个注册表

有病毒,随后就出现了杀软。今天给大家分享下Windows系统中病毒的藏身之处,好让大家以后直接揪出内鬼。   1、一般的病毒在开机时启动双进程坚守、关闭杀毒程序。HKLM\SOFTWARE\Micr...
  • u013467624
  • u013467624
  • 2014年01月13日 14:10
  • 233

注意Windows注册表里加载的病毒和流氓软件!

现在恶意和带毒的网站越来越多,让人防不胜防。而各种恶意软件要寄生在Windows系统中,最常用的手段就是修改注册表。由于Windows的注册表里加载程序的项目繁多,因此查找起来相当困难。总结我帮人清除...
  • leehq
  • leehq
  • 2006年09月01日 12:09
  • 4672

中外流氓软件大比拼

什么是流氓软件?业界通常认为,流氓软件常常介于病毒软件和正常软件之间,同时具有正常功能和恶意行为.根据不同的特征和危害,流氓软件主要分为广告软件(Adware)、间谍软件(Spyware)、 浏览器劫...
  • zdg
  • zdg
  • 2006年04月04日 02:19
  • 15191

一般的病毒通过注册表自启动的方式不断完善中。。。。

我们都知道病毒存在很大的隐藏性,流氓性,它总是在不知不觉中就在你的电脑上运行为非作歹,现在就把目前知道的几种病毒在电脑中自启动的两种方式记录一下。现在知道的这两种都是病毒通过注册表的形式自启动。 第...
  • qq_22642239
  • qq_22642239
  • 2016年03月03日 20:54
  • 759

利用Windows PE来检查和清除计算机病毒和流氓软件

当今的网络社会,计算机病毒、木马和流氓软件是狼狈为奸,对计算机系统的安全性、运行的稳定性构成很大威胁。如何有效检测和清除我们计算机中的病毒、木马和流氓软件,一直都是杀毒领域里面的重要话题。一般的查毒和...
  • hwman
  • hwman
  • 2007年04月17日 08:59
  • 2719

恢复被病毒禁用的任务管理器和注册表编辑器

一些恶意程序或病毒会将你的任务管理器和注册表编辑器给禁用了,  我们可以通过下面一些方法来恢复:1 、用组策略恢复  对于任务管理器,在“运行”中输入“gpedit.msc“打开组策略,依次展开“用户...
  • lixianlin
  • lixianlin
  • 2007年04月11日 19:48
  • 4980

反病毒工具之注册表监视器

本程序实现了ring3下的注册表监管工作.由VB+VC实现.功能和瑞星的注册表监视非常类似,如下图:目前只监视了启动项.VC DLL下载地址是:http://p.blog.csdn.net/image...
  • chenhui530
  • chenhui530
  • 2008年01月31日 23:19
  • 9590

流氓软件,病毒...

这几天中了几个很BT的病毒,Wiking,还有几个流氓软件,几乎要把我弄疯了,上网几乎都得了恐惧症,Winking这种蠕虫,把整个硬盘上的exe文件都感染了,当利用卡巴斯基修复后,所有的exe文件都删...
  • laiboy
  • laiboy
  • 2006年09月21日 15:45
  • 993

Windows 下的注册表

Author: B.D.  Date: 2002-1-13 18:34:59Agreement:==========The author of this document will not be re...
  • iiprogram
  • iiprogram
  • 2006年04月10日 10:42
  • 899

操作注册表删除病毒

病毒名称:传奇终结者变种JKE (Trojan.PSW.LMir.jke) 病毒类型:盗号木马 病毒发作现象及危害: 病毒采用VC++语言编写,Aspack加壳。运行后,会在后台悄悄运行,窃取《传奇》...
  • edg_edu
  • edg_edu
  • 2009年04月06日 08:35
  • 640
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:捣毁病毒流氓软件窝点必查七个注册表
举报原因:
原因补充:

(最多只允许输入30个字)